產品簡介

隨著我國《電子簽名法》《密碼法》的施行，各行業數字化轉型過程中對無紙化、電子簽約、電子證照、印章電子化管理的需求迫切，法律為采用數字簽名技術的應用奠定了法律基礎，眾多行業紛紛采用電子化管理模式，提升管理效率，降低運營成本，目前在數字簽名領域采用硬件USB Key是非常成熟的方案，在電子政務、招投標、電子證照等業務領域應用廣泛。

但隨著近年來移動互聯網的迅猛發展，如4G,5G移動網絡，移動終端安全技術等趨于完善，用戶體驗的迫切要求，基于傳統硬件USB Key的電子簽名方式已經不能滿足客戶需求，這種管理方式帶來用戶攜帶不便、丟失補辦速度慢等問題，用戶體驗較差，已經越來越落伍。

國富安安信簽移動APP簽名系統主要基于移動端協同安全技術，密鑰安全分割分散存儲，設備指紋，用戶可靠身份鑒別等技術，通過移動app，云端多系統協同完成數字簽名。

主要功能介紹

安信簽移動認證app支持Ios和Android 版本。用戶安裝app后可完成傳統usbkey安全操作，系統通過融合CA數字證書、硬件SE、密鑰安全算法、生物識別、設備指紋、app安全加固等多維度安全技術，為用戶提供移動終端安全服務，實現“掃碼“即可完成安全操作。

用戶身份注冊

移動App用戶可通過手機號開通app使用賬號，系統發送驗證碼，認證通過后，開通用戶訪問賬號，訪問賬號只能登錄app，不能進行業務操作。

用戶登陸app系統后，默認需要用戶需要在系統中做實名認證，通過后才可以進行業務操作。按照系統建設模式的不同，分為以下幾種情況：

通過個人實名認證后，可進行個人簽字，業務系統安全掃碼登錄。

通過企業實名認證后，可進行企業蓋章業務。

業務系統和安信簽進行身份信息集成（如AD域等）后，可采用業務系統的身份和權限。

實名身份認證

系統提供針對個人，企業身份的實名認證。

個人實名：通過公安部公民身份信息數據源，通過用戶身份證號碼,姓名，人臉識別，活體檢測等方式對個人用戶進行實名認證。

企業實名：通過上傳企業營業執照，法人信息，對企業名/組織機構代碼/統一社會信用代碼，法人信息進行核驗。

特殊情況下，對持有港澳臺、外國護照用戶，通過上傳認證所需的證明材料后，由系統后臺人工對所上傳的證明材料進行審核。

用戶實名認證后，系統會自動和CA證書申請系統關聯并同步用戶印模等信息。只有通過實名認證后的用戶才可以進行簽名、蓋章操作。

如用戶業務中用戶已經通過線上、線下等申請材料，完成了實名審核認證，安信簽系統支持和業務系統進行集成、同步用戶認證等信息，共享認證結果。

支持掃碼簽名/蓋章

通過移動app掃描業務系統的二維碼，當用戶掃描二維碼信息以后，移動App將當前會話信息，時間戳，終端特征值，簽名密碼，本地計算結果等信息加密處理后，發送到電子簽名服務端，由后臺系統進行驗證，驗證通過后完成電子簽名。

支持掃碼身份認證、加密

目前，大部分業務系統使用密碼認證的方式，安全性較低。業務系統通過api集成安信簽以后，可實現通過二維碼登錄，用戶身份認證在手機上完成，提升業務系統的安全性。同時，由于用戶不需要記憶復雜的密碼，提升用戶的操作體驗。

支持簽名密碼

允許客戶設置專門的簽名密碼，每次簽名時，需要輸入獨立的簽名密碼，單獨驗證，在服務端保存的密鑰及密鑰片段等信息通過簽名密碼加密，用戶不授權無法使用。

簽名筆跡/印模采集

提供針對用戶簽名筆跡/印章印模的創建、修改，刪除功能，用戶在設備上可以通過手寫、掃描、上傳等方式完成操作。

終端安全綁定

系統對用戶使用的移動終端進行識別和管理，每個用戶對應唯一的手機操作終端，用戶首次實名認證通過后，系統會自動綁定使用的終端。用戶在個人手機丟失、損壞、更換等情況下，可以向管理員申請變更，服務端系統生成新的簽名密鑰及授權碼，用戶在新手機app完成登錄后重新綁定確權，原手機權限自動注銷。

支持生物識別認證

安信簽移動app在帶有指紋識別和人臉識別的手機上，支持指紋認證和人臉識別認證，基于fido協議，通過指紋和人臉識別確認用戶身份，避免用戶多次輸入密碼，提升用戶操作體驗。

主要技術特點

使用方便、快捷

用戶通過智能手機，即可完成電子簽章、電子簽名、身份認證、數據加解密等安全應用。能夠實現手機作為操作中心，可替代物理硬件UKEY的使用，用戶不必再隨身攜帶硬件，減少了安裝驅動、硬件丟失、損壞等傳統UKEY的使用較復雜，管理成本高等問題。極大的降低業務使用的推廣成本，大大提升應用方便性和用戶體驗。符合移動互聯網環境下的用戶使用習慣，可在能源、金融、電子政務、企業等多個行業領域使用。

支持與現有ukey使用保持兼容

從系統兼容性、過渡性考慮，允許用戶同時辦理usbkey介質和移動app。兩種方式下，系統使用各自獨立的簽名證書，證書具有不同的序列號； 在部分雙證書項目中，如有加密證書，兩種模式下，可通過云端共享使用加密證書，可實現ukey加密，移動app解密，反之亦可。移動app模式下，如果用戶介質丟失，損壞，證書補辦業務將變得更加簡單，由于不需要郵寄物理硬件ukey,即時生效，客服工作量大大降低。

統平滑過渡

由于大部分用戶不可能在一個時間點全部取消usbkey的使用，需要考慮平滑過渡方案，本方案可確保usbkey和移動簽名app兩種方式并行使用，逐步替換，業務系統少量集成改造后，兩種模式的操縱可互通。

安信簽移動版本app使用申請流程和傳統usbkey基本一致，從系統兼容性、過渡性考慮，允許用戶同時辦理usbkey介質和移動app，并可按照業務實際使用情況，確定過渡時間長短。

兼容支持SE安全環境

在具備TEE，SE環境的手機終端上，系統支持將密鑰存儲在手機SE 硬件模塊中，由專用的安全芯片保障密鑰的安全。密鑰和數據通過SE中進行保護，在用戶使用生物特征識別或者輸入密碼驗證通過后，即可訪問位于SE中的密鑰來實現數字簽名等操作，降低被竊取或篡改的風險。

 多因素認證

系統支持生物特征、手機指紋、簽名密碼、用戶登錄口令、手機本地設備密鑰等多因素手段對用戶操作進行認證保護，具備很強的認證強度，認證因素可根據客戶的需求安全等級進行調整，滿足業務需求具有很好的靈活性和適應性。

多種簽名密鑰管理機制

可支持TEE、SE存儲，國密密鑰分割算法，云端管理等方式管理用戶密鑰，靈活滿足不同的業務場景。

安全性設計

安信簽移動簽名系統作為一款能夠替代UKEY的產品，產品的安全性設計十分重要，產品通過一系列技術手段保障密鑰儲存、數據傳輸、系統交互、用戶操作安全性，具有完善的防滲透、防逆向、防篡改的底層架構能力。